Source: ISMG (article de Mathew J. Schwartz, 16 octobre 2025). Contexte: L’article examine pourquoi l’opération de ransomware-as-a-service Qilin est la plus active pour le deuxième trimestre consécutif, en détaillant son usage d’hébergements bulletproof, sa stratégie d’affiliation et ses principales cibles et tendances.

• Qilin s’appuie étroitement sur un réseau de fournisseurs d’hébergement liés à Saint-Pétersbourg (Russie) et Hong Kong, offrant une politique « zero KYC » qui permet d’héberger du contenu illicite hors de portée des forces de l’ordre, selon Resecurity. Le groupe exploite aussi plusieurs services de partage de fichiers situés dans des juridictions complexes pour la mise à disposition et l’exfiltration de données.

• Activité et victimes récentes: le site de fuite « WikiLeaksV2 » de Qilin a listé notamment Volkswagen Group France, l’Agencia Tributaria (Espagne), Charles River Properties (États-Unis) et la New Jersey Property-Liability Insurance Guaranty Association. Qilin est demeuré le groupe le plus actif au T3, d’après des experts, devant Akira, INC Ransom, Play et SafePay. ZeroFox a comptabilisé 1 429 incidents d’extorsion au T3 (≈ +5 % vs T2, et -1/3 vs le record du T1 à 1 961).

• Infrastructures et partenaires: le blog de Qilin a promu Bearhost Servers (aussi « Underground »/« Voodoo Servers ») et mentionné Cat Technologies (Hong Kong), liée à un domaine précédemment malveillant et connectée au Aeza Group (Saint-Pétersbourg). Le U.S. Treasury a sanctionné Aeza (1er juillet) en tant que service d’hébergement bulletproof supportant notamment Meduza, Lumma, BianLian, RedLine, des marchés de drogues et l’opération d’influence Doppelgänger; des médias russes ont rapporté une perquisition établissant des liens avec des braquages bancaires et d’autres crimes. Fin 2024, Bearhost a lancé un service de scan massif puis a feint une panne avant de passer en mode privé (accès sur cooptation/vetting), selon Resecurity.

• Modèle et tactiques: Qilin propose au moins 80 % de commission à ses affiliés (comme DragonForce, selon NCC Group). Les attaquants privilégient la réutilisation de TTPs, la focalisation sectorielle et l’effet d’échelle via des prestataires communs (phishing inclus), note BlackFog. Exemples: env. 20 sociétés de gestion d’actifs en Corée du Sud (badgées « Korean Leak ») et, au Japon, Shinko Plastics, Nissan Creative Box, Osaki Medical et l’Asahi (brasserie), où presque 30 usines ont été perturbées; Qilin tenterait de vendre 27 Go de données 10 M$ et Asahi évoque un possible vol de PII.

• IOCs et TTPs

  • IOCs (nommés, non techniques): WikiLeaksV2 (site de fuite), Bearhost Servers/Underground/Voodoo Servers, Cat Technologies, Aeza Group.
  • TTPs: hébergement bulletproof « zero KYC », multi-file hosting en juridictions complexes, scan massif de cibles et exploitation à grande échelle, pivots sectoriels/pays pour réutiliser le playbook, phishing pour l’accès initial, programme d’affiliation à forte commission, extorsion via site de fuite et tentative de vente de données.

Type d’article et objectif: article de presse spécialisé présentant une analyse de menace et un état des lieux de l’activité de Qilin, de ses soutiens infrastructurels et de ses campagnes récentes.

🧠 TTPs et IOCs détectés

TTP

hébergement bulletproof « zero KYC »; multi-file hosting en juridictions complexes; scan massif de cibles et exploitation à grande échelle; pivots sectoriels/pays pour réutiliser le playbook; phishing pour l’accès initial; programme d’affiliation à forte commission; extorsion via site de fuite; tentative de vente de données

IOC

WikiLeaksV2; Bearhost Servers/Underground/Voodoo Servers; Cat Technologies; Aeza Group

🔗 Source originale : https://www.bankinfosecurity.com/key-to-qilins-ransomware-success-bulletproof-hosting-a-29742